一、堡壘機介紹
為了保證機房的網絡安全,IDC內所有服務器不被允許從辦公網直接ssh登錄,必須通過跳板機進行間接登錄。用戶通過跳板機執行的所有命令(包括通過跳板機登錄的其他機器后的命令)都會被保存并審計。 cs是我們登錄IDC服務器的跳板機,在cs上用戶只能執行ssh、passwd等簡單命令,cs只做ssh跳板機兒不做日常工具機使用。 cs的特點: 利用google開源軟件,手機端(產生跟用戶綁定的動態秘鑰)和驗證服務器端均不依賴網絡,只依賴時間 半分鐘變化一次,不會因為手機時鐘輕微的不準確導致認證失敗 比起常規固定密碼登陸安全性好
二、堡壘機權限申請流程及所需提交的信息:
初次申請堡壘機賬號,請使用域賬號登錄 http://protoss.ds.gome.com.cn/ 平臺,以便授權時用戶信息查找,并且至少有一臺服務器已完成授權,才可正常登陸堡壘機。 申請堡壘機服務器權限流程 申請人提交申請信息---應用運維負責人(SRE運維)-–堡壘機管理員(陳英杰) 申請堡壘機賬號原因: 申請內容如下格式: 域賬號 服務器ip 環境 權限角色 chenchao-ds 10.58.56.139 sit gome_guest 要申請的服務器權限:gadmin(相當于root權限)、work(部署應用使用賬號)、gome_guest(查看日志使用賬號) 服務器環境:生產、測試(也可寫明sit、uat、pre,如不清楚可直接寫測試) 三、手機谷歌認證安裝方法(訪問堡壘機必須安裝) Android用戶 1.在您的手機上安裝以下兩種軟件(如果自帶應用商店搜索不到,請先下載應用寶,從應用寶中下載谷歌動態口令、條碼掃描器;
2.掃描成功后選擇打開app手工輸入賬號、秘鑰或掃描郵件附件二維碼
?
?
安卓用戶可使用電腦版微信將郵件中秘鑰發送給自己,從手機上復制秘鑰串
保存后該動態秘鑰即被成功添加到手機的google身份認證器中,并每半分鐘變化一次。
?
蘋果用戶
在app store中安裝google authenticator,然后進入該軟件選擇編輯,點擊手動輸入驗證碼,輸入賬號、秘鑰或掃描郵件附件二維碼
電腦端設置(以secureCRT為例)
- 新建一個連接
此處用戶名應和gomeplus.com郵箱前綴相同
2、打開這個連接,依次輸入動態碼和密碼(域賬號密碼)
3、進入系統
登錄不同服務器,不需要重復連接堡壘機,可直接復制SSH渠道
?
Xshell 工具登錄設置
?1、新建連接
?
?
2、 用戶身份驗證設置,完后確定保存
3、設置完成以上兩步,連接先輸入手機口令,然后輸入域賬號密碼
4、完成登錄
登錄不同服務器,不需要重復連接堡壘機,可直接復制SSH渠道
文件上傳方法:
?
1、登錄CS跳板機系統后提示如下
### 歡迎使用 CS 跳板機系統 ###
1) 輸入 ID 直接登錄.
2) 輸入 / + IP, 主機名 or 備注 搜索.
3) 輸入 P/p 顯示您有權限的主機.
4) 輸入 G/g 顯示您有權限的主機組.
5) 輸入 G/g + 組ID 顯示該組下主機.
7) 輸入 U/u 批量上傳文件.
8) 輸入 D/d 批量下載文件.
9) 輸入 H/h 幫助.
0) 輸入 Q/q 退出.
根據提示輸入u
Opt or ID>: u
進入批量上傳模式
請輸入IP或ansile支持的pattern, 多個主機:分隔 q退出
Pattern>:?
輸入ip后選擇要上傳的文件
上傳成功后登錄服務器到/tmp下查看文件
也可使用lrzsz工具上產下載,rz上傳時請加-be參數
?
)
)
